Häufig werden diese beiden Begriffe entweder verwechselt oder synonym verwendet: IT-Sicherheit (Sicherheit von Informationstechnik) und Informationssicherheit (Sicherheit von Informationen). Eine exakte Einordnung ist jedoch erst einmal notwendig, obwohl – bedingt durch die Digitalisierung – zunehmend mehr analoge Informationen unter dem Einsatz von IT verarbeitet, gespeichert oder transportiert werden. Doch die Sicherheit der Informationen muss prinzipiell allumfassend, also auch (noch) analog, betrachtet werden. Da die Informationen somit in unterschiedlicher Form vorliegen können – also nicht auf digitale Daten beschränkt sind – und als Speichermedien sowohl technische als auch nicht-technische Systeme zum Einsatz kommen, ist es sinnvoll, nicht nur auf die IT-Sicherheit zu fokussieren, sondern die Sichtweise ganzheitlich auf Informationssicherheit legen. Denn nur auf diesem Wege ist ein angemessenes Schutzniveau für Unternehmen, Behörden oder Organisationen zu erzielen.
Denn für einen optimalen Schutz aller unternehmenskritischen Informationen sowie der IT bedarf es insgesamt einer systematischen Herangehensweise – ein integratives Konzept, das sowohl Mitarbeiter und Prozesse als auch Technologien gleichermaßen berücksichtigt. Das Ziel ist also prinzipiell: Informationen vor Gefahren und Bedrohungen zu schützen sowie wirtschaftliche Schäden zu verhindern.
Ein angemessenes Schutzniveau zu erreichen wird zunehmend komplex – daher ist das Konzept der Informationssicherheit sinnvoll, denn es greift weiter als IT-Sicherheit
Die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – gelten somit auch für einen Brief mit wichtigen Vertragsunterlagen, der gänzlich analog, aber dennoch pünktlich, zuverlässig und unversehrt von einem Kurier transportiert bei seinem Empfänger ankommen muss. Und diese Schutzziele gelten gleichermaßen für ein DIN A4-Blatt, das vertrauliche Informationen enthält, aber für jedermann einsehbar auf einem unbeaufsichtigten Schreibtisch liegt oder im Kopierer frei zugänglich auf unbefugten Zugriff wartet. Aber hierzu gehört auch das Bewusstsein, dass die Informationssicherheit analog sein kann, selbst wenn ein digitaler Kommunikationsweg gewählt wird. Wer in der Öffentlichkeit via Smartphone lautstark über sensible Firmeninterna diskutiert, muss sich bewusst sein, dass sein Fehlverhalten höchst analog ist.
Die drei Ziele im Überblick
-> Vertraulichkeit
Daten müssen vor einem unbefugten Zugriff sowohl bei der Kommunikation als auch der Speicherung geschützt werden. Das bedeutet, es muss sichergestellt sein, dass nur befugte Personen Daten einsehen, verarbeiten oder versenden dürfen. Zum Beispiel: es erhalten nur Mitarbeiter in der Buchhaltung die Berechtigung im Rahmen ihrer Tätigkeit auf die notwendigen Personal- und Kundendaten zugreifen zu können.
-> Integrität
Die Unversehrtheit von Daten ist eine notwendige Anforderung. Das heißt, sie müssen sowohl vor Manipulation durch unbefugte Dritte als auch mangelbehafteten Infrastrukturen geschützt werden. Die Gewährleistung der Integrität aller (kritischen) Daten mit angemessenen technischen und organisatorischen Maßnahmen ist elementar, da durch deren Manipulation potentiell gravierende Schäden entstehen. Zum Beispiel: eine mit Vorsatz herbeigeführte unrechtmäßige Änderung der Materialbedarfsplanung im ERP-System kann dazu führen, dass aufgrund einer Fehlmenge ein Produktionsstillstand verursacht wird.
-> Verfügbarkeit
Daten müssen möglichst kontinuierlich zur Verfügung stehen. Das bedeutet, es sind alle technischen Maßnahmen zu treffen, die sicherzustellen, dass das Risiko eines Systemausfalls minimiert und somit auf die Daten im Bedarfsfall zugegriffen werden kann. Zum Beispiel: Wenn bei der Entwicklung einer KI-basierten Anwendung nicht sichergestellt ist, dass im Lernprozess auf die relevanten Daten zugegriffen werden kann, wird dadurch das Ergebnis negativ beeinflusst. Je mehr die Unternehmen digitalisieren, desto höher wird der Anspruch an Verfügbarkeit.
Die Auswahl der geeigneten Maßnahmen zur Umsetzung der Informationssicherheit basiert jedoch auf dem Fakt, dass nicht alle Daten unternehmenskritisch sind.
Anhand einer Risikoanalyse lassen sich die Datenbestände dahingehend auswerten, wie relevant sie zur Aufrechterhaltung des Geschäftsbetriebs sind. Im Hinblick auf die Verfügbarkeit wäre es sinnvoll, Ausfallwahrscheinlichkeit und Ausfallzeit der IT-Systeme sowie das Schadenspotenzial detailliert zu ermitteln, um die höchstmögliche Verfügbarkeit für die Datenbestände zu gewährleisten. Nur fünf Prozent der Daten sind in der Regel unternehmenskritisch, die relevante Frage ist jedoch welche Daten das sind.
Fazit: IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht synonym verwendet werden können. Momentan ist die IT-Sicherheit ein Bestandteil der Informationssicherheit, die auch analoge Sachverhalte, Vorgänge und Kommunikation einschließt. Aufgrund der zunehmenden Digitalisierung rücken diese Begriffe jedoch immer enger zusammen, sodass der Unterschied wohl zunehmend marginal ausfallen wird.
